Noua investigatie dezvaluie trei programe periculoase inrudite cu Flame: cel putin unul opereaza neidentificat

Kaspersky Lab anunta rezultatele unei noi investigatii aflate in stransa legatura cu descoperirea campaniei Flame de spionaj cibernetic. Cercetarile, desfasurate de Kaspersky Lab in parteneriat cu IMPACT Alliance din cadrul Uniunii Internationale a Telecomunicatiilor, CERT-Bund/BSI si Symantec, au presupus analiza in detaliu a unui numar de servere de Comanda si Control (C&C) folosite de creatorii Flame, dezvaluind trei programe periculoase nedescoperite inca. Mai mult, platforma Flame dateaza inca din anul 2006.

Principalele descoperiri:

  • Dezvoltarea platformei de Comanda si Control a Flame a inceput in decembrie 2006
  • Serverele C&C erau deghizate in sisteme obisnuite de administrare a continutului (Content Management System), pentru a ascunde adevarata natura a proiectului de ochii furnizorilor de servicii de hosting sau a posibilelor investigatii
  • Serverele puteau obtine informatii de la computerele infectate folosind patru tipuri diferite de protocoale; numai unul dintre acestea era folosit pentru atacurile cu Flame
  • Existenta celorlalte trei protocoale de comunicare nefolosite de Flame dovedeste prezenta a cel putin trei tipuri de malware create impreuna cu acesta; natura lor este, inca, necunoscuta
  • Unul dintre aceste trei programe periculoase este activ si opereaza „in the wild”
  • Exista indicii care arata ca platforma C&C se afla inca in proces de dezvoltare; un sistem de comunicare, numit „Red Protocol”, este mentionat, dar neimplementat inca
  • Nu exista informatii care sa ateste faptul ca serverele C&C ale lui Flame erau utilizate pentru controlul altor programe periculoase cunoscute, precum Stuxnet sau Gauss

Initial, campania Flame de spionaj cibernetic a fost descoperita de Kaspersky Lab in luna mai 2012, in timpul unei investigatii lansate de Uniunea Internationala a Telecomunicatiilor (ITU). Complexitatea codului si legaturile cu Stuxnet indica faptul ca Flame reprezinta un alt exemplu de operatiune sofisticata de spionaj cibernetic, sponsorizata de guvernul unui stat. Cercetarile initiale aratau ca Flame a inceput sa opereze in 2010, dar prima analiza a infrastructurii de Comanda si Control (care acoperea cel putin 80 de nume de domenii web) a mutat perioada cu doi ani mai devreme.

Rezultatele noii cercetari au la baza analiza continutului obtinut de pe mai multe servere de C&C folosite de Flame. Aceste informatii au fost recuperate, in ciuda faptului ca infrastructura de control a Flame a fost dezactivata, imediat ce Kaspersky Lab a dezvaluit existenta malware-ului. Toate serverele utilizau o versiune pe 64 de biti a sistemului de operare Debian, virtualizat cu ajutorul OpenVZ. O mare parte din codul folosit de servere era scris in limbaj de programare PHP. De asemenea, autorii Flame au luat masuri speciale pentru a camufla serverele de C&C in sisteme obisnuite de administrare a continutului (Content Management System), pentru a evita descoperirea lor de catre furnizorul serviciilor de gazduire online.

Au fost folosite metode sofisticate de criptare, pentru ca atacatorii sa fie singurele persoane care puteau obtine acces la datele incarcate de pe computerele infectate. Analiza fisierelor script, utilizate pentru controlul transmisiei datelor catre computerele-victima a scos la lumina patru protocoale de comunicare, numai unul dintre ele fiind compatibil cu Flame. Acest lucru semnifica faptul ca cel putin alte trei tipuri de malware au folosit aceste servere de Comanda si Control. Exista, de asemenea, suficiente dovezi care sa demonstreze existenta cel putin a unui malware inrudit cu Flame, care opereaza inca neidentificat. Aceste programe periculoase sunt, inca, nedescoperite.

Un alt rezultat important al analizei dezvaluie ca platforma C&C a Flame a inceput sa fie dezvoltata in decembrie 2006. In plus, exista indicii care confirma faptul ca aceasta se afla inca in proces de dezvoltare, deoarece, un nou protocol, neimplementat inca – numit „Red Protocol” – a fost descoperit pe servere. Ultima modificare a codului de pe servere dateaza din 18 mai 2012.

„A fost destul de dificil pentru noi sa estimam cantitatea de date furata de Flame, chiar daca am finalizat analiza serverelor de Comanda si Control”, spune Alexander Gostev, Chief Security Expert, Kaspersky Lab. „Autorii Flame se pricep foarte bine sa-si ascunda urmele, insa, o greseala a unuia dintre ei ne-a ajutat sa descoperim pe un server mai multe date decat intentionau acestia sa stocheze pe el. Pe baza acestor informatii, am putut afla ca, saptamanal, peste cinci gigabytes de date adunate de la peste 5000 de computere infectate au fost incarcate pe acest server. Fara nicio indoiala, acesta este un exemplu de spionaj cibernetic desfasurat la scara larga”, completeaza Gostev.

O analiza detaliata a serverelor de comanda si control ale Flame este publicata pe securelist.com, la adresa:  http://www.securelist.com/en/blog/750/Full_Analysis_of_Flames_Command_Control_servers

Mai multe informatii despre Flame puteti citi in rubrica FAQ actualizata: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply